当前设置 CentOS是一个Web,邮件(Postfix,Dovecot),FTP服务器和网关公共IP和私人IP(LAN网关)。 我们正计划实施外部防火墙,并将服务器连接到局域网 请指导configurationIPTables …无法接收邮件和外发邮件停留在后缀队列中,并延迟发送后… 服务器的本地IP地址是192.168.1.220 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP # incoming HTTP iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m state –state ESTABLISHED -j ACCEPT iptables -A INPUT -i […]
我有一个Linux服务器,默认的INPUT操作是DROP 。 OUTPUT和FORWARD都是ACCEPT 。 我必须添加哪条规则才能使机器build立FTP会话作为FTP客户端。 服务器不是FTP服务器。 这是我的防火墙规则。 为什么我不能ping任何远程机器或任何有关OUTPUT。 # Generated by iptables-save v1.4.12 on Wed Oct 10 15:30:17 2012 *nat :PREROUTING ACCEPT [379:59440] :INPUT ACCEPT [162:34762] :OUTPUT ACCEPT [5008:361967] :POSTROUTING ACCEPT [5008:361967] COMMIT # Completed on Wed Oct 10 15:30:17 2012 # Generated by iptables-save v1.4.12 on Wed Oct 10 15:30:17 2012 *filter :INPUT DROP […]
uname -a Linux host 2.6.32-279.9.1.el6.i686 #1 SMP Tue Sep 25 20:26:47 UTC 2012 i686 i686 i386 GNU/Linux 和创业: ls /etc/init.d/ abrt-ccpp certmonger dovecot irqbalance matahari-broker mdmonitor nfs proftpd rpcbind single ypbind abrtd cgconfig functions kdump matahari-host messagebus nfslock psacct rpcgssd smartd abrt-oops cgred haldaemon killall matahari-network mysqld ntpd qpidd rpcidmapd sshd acpid cpuspeed halt ktune […]
我有一个基于Linux的路由器。 我正在尝试创build一个iptable规则来redirect使用其mac地址的特定客户端的stream量。 这是我现在的规则(这是不工作): iptables -t nat -A prerouting_lan -m mac –mac-source $mac -i br-lan -p tcp –dport 80 -j DNAT –to $ipaddr 我究竟做错了什么? 任何build议,将不胜感激。 EV
在任何时候,我的服务器上都有大约3-4个VZ容器(CentOS6上的硬件节点)。 我有不同的容器上运行的Web服务器,SSH,邮件等。 从networking中的另一台主机,它们被作为ip.of.hardware.node:port访问,iptables在nat表中用规则转发它们。 解释我真正想要的: 假设我的容器ID是2,3,4。他们的IP分别是192.168.0.2,192.168.0.3,192.168.0.4。 我想要一个设置,如果有人访问ip.of.hardware.node:2080,连接应该被转发到192.168.0.2:80。 同理: ip.of.hardware.node:2022 => 192.168.0.2:22(ContainerID:2) ip.of.hardware.node:3022 => 192.168.0.3:22(ContainerID:3) ip.of.hardware.node:4080 => 192.168.0.4:80(ContainerID:4) ip.of.hardware.node:4443 => 192.168.0.4:443(ContainerID:4) … 等等。 这样,每个容器获得一个1000端口的工作块。有没有一种方法来实现这个没有为每个容器指定1000规则?
有了以下iptable规则,我无法进行apt更新并ping一个网站。 规则有什么问题? 如何解决它? 什么是解决它的确切规则? Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp — anywhere anywhere tcp dpt:325 DROP all — anywhere anywhere Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
我目前正在遇到我的服务器上的大量UDP攻击。 我主持了几个游戏服务器,主要是Tf2,CS:GO,CS 1.6和CS:Source,我的1.6服务器正在被淹没。 我在iptables中尝试了不同的规则,但似乎没有一个可行。 我在100Mbps的带宽资费,但我收到的洪水是500 + Mbps。 这是最新的tcpdump的日志 – > http://pastebin.com/HSgFVeBs数据包的长度在一天中变化。 只有我的游戏服务器端口被淹没 – 通过UDP数据包27015,27016,27018。 有没有任何iptables的规则,可能会阻止这个?
我试图让我的新的MediaWiki服务器,以允许连接到我们的MySql服务器,现在我无法让我的iptables防火墙设置正确的。 我正在申请的规则如下 iptables -A INPUT -p tcp -d 129.130.155.39 –dport 3306 -j ACCEPT # MySQL 但是我的iptables日志仍然显示连接无法build立,并被阻止/拒绝。 Nov 21 09:48:39 hds-it kernel: Firewall Deny: [OUTPUT] IN= OUT=eth1 SRC=129.130.155.210 DST=129.130.155.39 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=29232 DF PROTO=TCP SPT=58862 DPT=3306 SEQ=914529531 ACK=0 WINDOW=14600 RES=0x00 SYN URGP=0 OPT (020405B40402080A03BCF2BC0000000001030307) 当我closuresiptables时,一切正常,包括编辑wiki数据库。 我在做什么错我的规则? 编辑:这是我的输出从iptables -L -n -v => http://pastie.org/5413124我不能在这里格式化它。
我正在尝试设置一些防火墙规则,允许在一台服务器和另一台服务器之间允许SSH,传入ping,munin和MySQL(所有这些服务都可以正常工作),但是当我应用规则时,无法再ping或解决任何DNS(所以我可以ping 74.125.225.65但不是google.com )。 以下是我正在使用的规则: # Accept traffic on localhost: iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # Allow SSH from anywhere: iptables -A INPUT -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT # […]
我有一个运行在我的Ubuntu 12.04服务器上的进程,坚持绑定到公共IP地址。 我只希望它可以从本地主机访问,而不是外部世界。 我一直在试图找出一种方法将1.2.3.4:8888转发到127.0.0.1:8888。 我看到了一些关于iptables不想转发连接到loopback的问题,我也无法使它与xinetd一起工作。 连接不仅在本地主机上可用,而且在尝试运行的接口上不可访问也很重要。 这甚至有可能吗?